Faktablad om Europeiska unionen
Europaparlamentet
Fyll i detta fält

Skydd av personuppgifter

Skyddet av personuppgifter och respekten för privatlivet är europeiska grundläggande rättigheter. Europaparlamentet har alltid insisterat på att man måste göra en avvägning mellan ökad säkerhet och värnande av de mänskliga rättigheterna, inbegripet dataskydd och privatliv. EU:s nya regler för dataskydd, som stärker medborgarnas rättigheter och förenklar reglerna för företag i den digitala tidsåldern, trädde i kraft i maj 2018. Studier beställda av Europaparlamentet visar att EU:s lagstiftning om reglering av dataflöden årligen bidrar med 51,6 miljarder euro till BNP i Europeiska unionen. Forskning som genomförts för Europaparlamentets undersökningskommitté för utredning av användningen av Pegasus och liknande spionprogram (PEGA) bekräftar vikten av dataskydd för att försvara demokratin och individens friheter i EU.

Rättslig grund

Artikel 16 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget)

Artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna.

Mål

EU ska se till att den grundläggande rätten till dataskydd, som är förankrad i Europeiska unionens stadga om de grundläggande rättigheterna, tillämpas på ett konsekvent sätt. Mot bakgrund av den exponentiella ökningen av mängden dataöverföringar – där EU, USA och Kanada står för den största delen av denna tillväxt – måste EU:s hållning i fråga om skydd av personuppgifter stärkas inom ramen för all EU-politik.

Resultat

A. Institutionell ram

1. Lissabonfördraget

Innan Lissabonfördraget trädde i kraft var lagstiftningen om dataskydd på området med frihet, säkerhet och rättvisa uppdelad mellan den första pelaren (dataskydd för privata och kommersiella ändamål, med beslutsfattande enligt gemenskapsmetoden) och den tredje pelaren (dataskydd i brottsförebyggande syfte, med beslutsfattande på mellanstatlig nivå). Beslutsfattandet på de två områdena skedde således med tillämpning av olika regler. Pelarstrukturen avskaffades i och med Lissabonfördraget, som ger dels ett bättre underlag för utvecklingen av ett tydligare och mer effektivt system för dataskydd, dels nya befogenheter till parlamentet, som har blivit medlagstiftare. Enligt artikel 16 i EUF-fördraget ska parlamentet och rådet ”fastställa bestämmelser om skydd för enskilda personer när det gäller behandling av personuppgifter hos unionens institutioner, organ och byråer och i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrättens tillämpningsområde”.

2. De strategiska riktlinjerna för området med frihet, säkerhet och rättvisa

Efter Tammerfors- och Haagprogrammen (från oktober 1999 respektive november 2004) godkände Europeiska rådet i december 2009 det fleråriga programmet för området med frihet, säkerhet och rättvisa för perioden 2010–2014, det så kallade Stockholmsprogrammet. I sina slutsatser från mötet i juni 2014 fastställde Europeiska rådet de strategiska riktlinjerna för lagstiftningsprogrammet och den operativa programplaneringen för de kommande åren på området med frihet, säkerhet och rättvisa, i enlighet med artikel 68 i EUF-fördraget. Ett av huvudmålen är att bättre skydda personuppgifter i EU.

B. Viktiga lagstiftningsinstrument om dataskydd

1. Europeiska unionens stadga om de grundläggande rättigheterna

Enligt artiklarna 7 och 8 i EU-stadgan om de grundläggande rättigheterna är respekten för privatlivet och skyddet av personuppgifter närbesläktade men separata grundläggande rättigheter.

2. Europarådet

a. Konvention 108 från 1981

Europarådets konvention 108 av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter var det första rättsligt bindande internationella instrument som antogs på området för dataskydd. Den syftar till att säkerställa respekten för varje individs rättigheter och grundläggande friheter och särskilt hans eller hennes rätt till privatliv i samband med automatisk databehandling av personuppgifter. Protokollet om ändring av konventionen syftar till att utvidga dess tillämpningsområde, förbättra dataskyddet och göra den mer ändamålsenlig.

b. Den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen)

I artikel 8 i konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna av den 4 november 1950 fastställs var och ens rätt till skydd för privat- och familjeliv, sitt hem och sin korrespondens.

3. EU:s gällande lagstiftningsinstrument om dataskydd

a. Den allmänna dataskyddsförordningen.

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) började tillämpas i maj 2018. Bestämmelserna syftar till att skydda alla EU-medborgare från integritetsintrång och personuppgiftsincidenter i en alltmer datadriven värld, och att samtidigt inrätta en tydligare och mer enhetlig ram för företag. Privatpersoners rättigheter inbegriper krav på ett entydigt och bekräftande samtycke till att deras uppgifter behandlas och rätten att få tydlig och begriplig information om det; rätten att bli bortglömd: en person kan begära att få sina personuppgifter raderade; rätten att överföra uppgifter till en annan tjänsteleverantör (till exempel vid byte från ett socialt nätverk till ett annat) och rätten att få veta när uppgifter har hackats. De nya reglerna gäller för alla företag som är verksamma i EU, även de som är etablerade utanför EU. Dessutom kan korrigerande åtgärder införas, såsom varningar och förelägganden eller sanktionsavgifter för företag som bryter mot reglerna. Den 24 juni 2020 lade kommissionen fram en rapport om utvärderingen av förordningen[1]

b. Dataskyddsdirektivet för brottsbekämpning

Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF började tillämpas i maj 2018. Direktivet skyddar medborgarnas grundläggande rätt till dataskydd när personuppgifter används av brottsbekämpande myndigheter. Det säkerställer att personuppgifter om offer, vittnen och misstänkta i brottmål skyddas på ett tillbörligt sätt och underlättar gränsöverskridande samarbete i kampen mot brottslighet och terrorism. Den 25 juli 2022 offentliggjorde Europeiska kommissionen med försening sin rapport om hur direktivet om uppgiftsskydd vid brottsbekämpning tillämpas och fungerar. Den följdes av en utvärderingsstudie som beställts av utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE) och som omfattade en kritisk bedömning av genomförandet av direktivet om uppgiftsskydd vid brottsbekämpning[2].

c. Direktivet om integritet och elektronisk kommunikation

Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktivet om integritet och elektronisk kommunikation) ändrades genom direktiv 2009/136/EG av den 25 november 2009. Det tar upp den känsliga frågan om lagring av data, som vid upprepade tillfällen har tagits upp i Europeiska unionens domstol och lett till en rad domar, senast 2020, där det slogs fast att unionsrätten utgör hinder för generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter.

Förslaget från 2017 till Europaparlamentets och rådets förordning om respekt för privatlivet och skydd av personuppgifter i samband med elektronisk kommunikation och om upphävande av direktiv 2002/58/EG (förordningen om integritet och elektronisk kommunikation) är för närvarande under behandling. Europaparlamentets experter ansåg att parlamentet bör motsätta sig rådets försök att utesluta tillämpningen av europeiska dataskyddsprinciper[3].

d. Förordningen om behandling av personuppgifter som utförs av unionens institutioner och organ

Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG trädde i kraft den 11 december 2018.

e. Artiklar om dataskydd i sektorsspecifika rättsakter

Utöver de centrala rättsakter om dataskydd som avses ovan fastställs också särskilda bestämmelser om dataskydd i sektorsspecifika rättsakter, till exempel följande:

  • Artikel 13 (om skydd av personuppgifter) i Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet.
  • Artikel 6 (om behandling av uppgifter) i rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lämna uppgifter om passagerare (API-direktivet).
  • Den 13 december 2022 antog kommissionen två lagstiftningsförslag om insamling och överföring av API-uppgifter som kommer att ersätta API-direktivet[4].
  • Kapitel VI (om skyddsåtgärder för uppgifter) i Europaparlamentets och rådets förordning (EU) 2016/794 av den 11 maj 2016 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol).
  • Kapitel VIII (om dataskydd) i rådets förordning (EU) 2017/1939 av den 12 oktober 2017 om genomförande av fördjupat samarbete om inrättande av Europeiska åklagarmyndigheten (EPPO).

4. EU:s centrala internationella överenskommelser om dataöverföring

a. Överföring av kommersiella uppgifter: beslut om adekvat skyddsnivå

Enligt artikel 45 i den allmänna dataskyddsförordningen har kommissionen befogenhet att avgöra huruvida ett land utanför EU säkerställer ett adekvat skydd för uppgifter, på grundval av antingen dess nationella lagstiftning eller de internationella åtaganden som landet har gjort.

Dataöverföringarna mellan EU och Nordamerika har ökat exponentiellt, där USA dominerar privat reklam och övervakning på nätet[5], och mot denna bakgrund har parlamentet antagit flera resolutioner i vilka man uttryckt farhågor i fråga om transatlantiska dataflöden. Det ansåg i synnerhet att beslutet om skölden för skydd av privatlivet i EU och USA inte ger den skyddsnivå som krävs enligt unionsrätten, och domstolen har upprepade gånger ogiltigförklarat kommissionens beslut om adekvat skyddsnivå avseende USA (se dess domar från 2015 om Safe Harbour-beslutet i Schrems och från 2020 om skölden för skydd av privatlivet i EU och USA i Schrems II).

Trots bristen på reform av dataskyddssystemet i USA nådde kommissionen en annan överenskommelse med USA och lade fram ett förslag till ytterligare en ram för dataskydd mellan EU och USA. På grundval av ett förslag från LIBE-utskottet den 11 maj 2023 antog parlamentet en resolution om huruvida ett adekvat skydd säkerställs genom ramen för dataskydd mellan EU och USA. Parlamentet drog slutsatsen att EU:s och Förenta staternas ram för dataskydd inte skapar väsentlig likvärdighet i skyddsnivån, och uppmanade kommissionen att fortsätta förhandlingarna med sina amerikanska motparter, men att inte anta beslutet om adekvat skyddsnivå förrän alla rekommendationer i parlamentets resolution och i dataskyddsstyrelsens yttrande har genomförts fullt ut.

Kommissionen antog sin tredje ram för dataskydd mellan EU och USA den 10 juli 2023.

b. Paraplyavtalet mellan EU och USA

Inom ramen för godkännandeförfarandet deltog parlamentet i godkännandet av avtalet mellan USA och EU om skydd av personuppgifter i samband med förebyggande, utredning, avslöjande och lagföring av brott, även kallat ”paraplyavtalet”. Syftet med detta avtal är att garantera ett starkt skydd för sådan personlig information som överförs inom ramen för det transatlantiska samarbetet för brottsbekämpande ändamål, framför allt i kampen mot terrorism och organiserad brottslighet.

c. Avtal om passageraruppgifter mellan EU och USA, EU och Australien samt EU och Kanada

EU har undertecknad bilaterala avtal om passageraruppgifter med USA, Australien och Kanada. Passageraruppgifter omfattar dels information som passagerarna lämnar när de bokar eller checkar in till flygresor, dels uppgifter som lufttrafikföretagen samlar in för sina egna kommersiella ändamål. Passageraruppgifter kan användas av brottsbekämpande myndigheter för att bekämpa grov brottslighet och terrorism.

d. Programmet för att spåra finansiering av terrorism mellan EU och Förenta staterna (TFTP)

EU har undertecknat ett bilateralt avtal med USA om behandling och överföring av uppgifter om finansiella betalningsmeddelanden från EU till USA för användning i programmet för spårning av finansiering av terrorism.

5. Dataskyddsaspekter i sektorsspecifika resolutioner

Flera av parlamentets resolutioner om olika politikområden tar också upp skyddet av personuppgifter i syfte att säkerställa överensstämmelse med EU:s allmänna dataskyddslagstiftning och skyddet av privatlivet inom dessa specifika sektorer.

6. EU:s tillsynsmyndigheter för dataskydd

Europeiska datatillsynsmannen (EDPS) är en oberoende tillsynsmyndighet som ser till att EU:s institutioner och organ fullgör sina skyldigheter i fråga om dataskydd. Datatillsynsmannens främsta uppgifter är tillsyn, samråd och samarbete.

Europeiska dataskyddsstyrelsen (EDPD), före detta artikel 29-gruppen, har ställning som EU-organ med rättskapacitet och är försedd med ett oberoende sekretariat. Dataskyddsstyrelsen samlar EU:s nationella dataskyddsmyndigheter, Europeiska datatillsynsmannen och kommissionen. Dataskyddsstyrelsen har omfattande befogenheter att avgöra tvister mellan nationella tillsynsmyndigheter och att ge råd och vägledning om viktiga begrepp i den allmänna dataskyddsförordningen och i dataskyddsdirektivet för brottsbekämpning.

Europaparlamentets roll

Parlamentet har spelat en central roll i utformningen av EU:s lagstiftning på området skydd av personuppgifter genom att göra skyddet av privatlivet till en politisk prioritet. Dessutom har det, inom ramen för det ordinarie lagstiftningsförfarandet, där parlamentet är jämbördigt med rådet, arbetat med dataskyddsreformen. År 2017 avslutade parlamentet sitt arbete med den sista stora pusselbiten i pusslet, den nya förordningen om integritet och elektronisk kommunikation, och väntar spänt på att rådet äntligen ska avsluta sitt arbete så att interinstitutionella förhandlingar kan inledas.

I ett flertal resolutioner har parlamentet uttryckt tvivel om huruvida det skydd som EU-medborgare ges enligt Safe Harbour-ramen och, därefter, skölden för skydd av privatlivet i EU och Förenta staterna är adekvat. Efter det att Schrems II-målet ledde till ogiltigförklaring av kommissionens genomförandebeslut (EU) 2016/1250 om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och Förenta staterna, på grund av farhågor om att den amerikanska regeringens övervakningsbefogenheter inte var begränsade, vilket krävs enligt unionsrätten, och att EU-medborgarna inte hade tillgång till effektiva rättsmedel, antog Europaparlamentet en resolution i vilken det beklagade att kommissionen hade satt förbindelserna med Förenta staterna framför EU-medborgarnas intressen[6].

Efter att LIBE-utskottet hade lagt fram sitt förslag den 11 maj 2023 antog parlamentet en resolution om huruvida ett adekvat skydd säkerställs genom ramen för dataskydd mellan EU och USA. Parlamentet drog slutsatsen att EU:s och Förenta staternas ram för dataskydd inte skapar väsentlig likvärdighet i skyddsnivån, och uppmanade kommissionen att fortsätta förhandlingarna med sina amerikanska motparter, men att inte anta beslutet om adekvat skyddsnivå förrän alla rekommendationer i resolutionen och i dataskyddsstyrelsens yttrande har genomförts fullt ut. Kommissionen antog sitt beslut om ramen för dataskydd mellan EU och USA den 10 juli 2023.

Parlamentet har inrättat en undersökningskommitté för utredning av användningen av Pegasus och liknande spionprogram i EU:s medlemsstater (PEGA). PEGA har under ledning av ledamoten Jeroen Lenaers grundligt utrett användningen av spionprogram för att undersöka oppositionsmedlemmar, journalister, advokater och medborgarrättsaktivister samt hur sådana metoder påverkar demokratiska processer och individuella rättigheter i EU. Under sin utredning konsulterade PEGA ledande akademiker, yrkesverksamma och myndigheter i EU och övriga världen. Parlamentets utredningsavdelning utarbetade rapporter för PEGA:s undersökningsuppdrag i Polen, Grekland och Cypern. PEGA röstade den 8 maj 2023 för att anta sin mycket kritiska slutrapport med rekommendationer om utredningen av påstådda överträdelser och missförhållanden vid tillämpningen av unionsrätten i samband med användningen av Pegasus och motsvarande spionprogram. Rapporten innehöll bland många andra punkter en rekommendation om att inrätta ett EU-tekniklaboratorium för forskning och övervakning av användningen av spionprogram mot EU-medborgare. Parlamentets rekommendation till rådet och kommissionen till följd av PEGA:s rapport antogs vid plenarsammanträdet den 15 juni 2023. Kommissionen svarade dock inte i tid på rekommendationen och blockerade pilotprojektet EU Tech Lab som föreslagits av ledamöterna.

Parlamentet har beställt ett antal studier för att få en vetenskaplig grund för sin lagstiftningsverksamhet som ligger i täten för teknisk utveckling och dataskydd, bland annat en studie om effekten av den allmänna dataskyddsförordningen på artificiell intelligens, en studie om biometrisk igenkänning och beteendespårning och en studie om metaversum.

Detta faktablad har utarbetats av Europaparlamentets utredningsavdelning för medborgerliga rättigheter och konstitutionella frågor.

 

[1]Meddelande från kommissionen av den 24 juni 2020 Dataskydd som en pelare för medborgarnas egenmakt och EU:s strategi för den digitala övergången – tillämpning av den allmänna dataskyddsförordningen under två års tid (SWD(2020)0115).
[2]Vogiatzoglou, P. m.fl., Assessment of the implementation of the Law Enforcement Directive, Europaparlamentets generaldirektorat för EU-intern politik, utredningsavdelningen för medborgerliga rättigheter och konstitutionella frågor, 7 december 2022.
[3]Sartor, G. m.fl., The impact of Pegasus on fundamental rights and democratic processes, Europaparlamentets generaldirektorat för EU-intern politik, utredningsavdelningen för medborgerliga rättigheter och konstitutionella frågor, januari 2023, s. 56–57.
[4]Vavoula, N. m.fl., Advance Passenger Information (API) – An analysis of the European Commission’s proposals to reform the API legal framework, Europaparlamentets generaldirektorat för EU-intern politik, utredningsavdelningen för medborgerliga rättigheter och konstitutionella frågor, 8 juni 2023.
[5]Maciejewski, M., Metaverse, Europaparlamentets generaldirektorat för EU-intern politik, utredningsavdelningen för medborgerliga rättigheter och konstitutionella frågor, 26 juni 2023.
[6]Europaparlamentets resolution av den 20 maj 2021 om Europeiska unionens domstols dom av den 16 juli 2020 – Data Protection Commissioner mot Facebook Ireland Limited, Maximillian Schrems (Schrems II), mål C-311/18, punkt 28.

Mariusz Maciejewski